币圈界报道：

Alephium跨链桥遭恶意后端注入，伪造指令触发巨额资金外流

Alephium跨链桥遭遇系统性安全失效，攻击者通过伪造链下事件流诱导守护者签署虚假交易，致使以太坊与BNB链上的资产遭受约81.5万美元损失。该事件由安全机构Blockaid于5月30日首次监测到，并立即通报SEAL 911应急响应团队。整个攻击过程持续约七分钟，期间系统未识别异常，最终导致桥接功能被迫关闭。

伪造事件流绕过审批机制，引发非授权代币铸造

攻击者从桥接关联资产池中提取了USDT、USDC、WETH、WBTC及WBNB等主流稳定币和资产。更严重的是，其在以太坊网络上非法增发1,376万枚封装ALPH，而未在原生Alephium链上锁定相应数量的ALPH作为抵押。此举造成代币供应量虚高，威胁市场价值稳定性。

桥接系统中断，流动性撤离成为关键防御措施

事件发生后，Alephium立即暂停桥接服务，宣布在完成技术审查、制定恢复方案及补偿机制前将维持离线状态。项目方特别提醒以太坊与BNB链上的ALPH持有者尽快从Uniswap和PancakeSwap的资金池中撤出流动性，以防攻击者利用无支持代币套现获利。

多链资产被盗明细与异常代币生成数据披露

根据官方统计，攻击者在以太坊链上窃取200,967枚USDT、17,594枚USDC、5.18枚WETH与0.335枚WBTC；在BNB链上则盗走36,750枚USDT及24.386枚WBNB。此外，系统还生成了1,376万枚无抵押封装ALPH，其总量超过事件前所有流通封装代币之和，构成显著的金融风险隐患。

密钥泄露疑云被澄清，焦点转向链下架构缺陷

初期报告曾猜测四名桥接守护者中有三把私钥可能外泄，但后续调查推翻此结论。Blockaid与Alephium联合确认，此次事件并非由智能合约漏洞或密钥泄露引发，而是源于桥接后端链下系统的逻辑缺陷。该问题允许伪造消息在未经有效验证的情况下进入签名流程，使恶意指令获得合法外观。

中间层失效致签名被滥用，系统信任机制遭颠覆

攻击路径始于链上合约与链下操作之间的协调层。该层负责向守护者传递待审批事件，而攻击者通过篡改数据包，使守护者在不知情情况下签署无效信息。尽管签名本身真实有效，但其所附数据为假，导致系统误判为合法操作，从而释放资金并触发代币铸造。

四守护者设计暴露容错短板，小型验证集成风险点

Alephium桥接采用四人守护组机制，需三名成员同意方可执行转账。虽提升处理效率，但小规模验证集降低了冗余容错能力。若大量守护者同时接收错误数据，系统仍可能达成法定人数并批准操作。此次事件再次引发对桥接治理结构的反思：更大规模的守护者网络或可增强抗攻击韧性，但亦带来管理复杂度上升挑战。

近期多起桥接事故凸显跨链基础设施脆弱性

2026年已接连发生多起跨链桥故障。5月，Verus-Ethereum桥因验证逻辑缺陷损失超1,150万美元；Gravity桥亦因疑似签名流程异常导致约540万美元资产流失。这些案例共同揭示跨链系统对链下消息中继、可信节点与验证机制的高度依赖——任一环节失效，均可能波及多条链上资产安全。

恢复进程尚在规划，核心资产未受直接侵扰

Alephium确认桥接合约内持有的原始ALPH未被挪用，具备恢复基础。团队表示将在完成全面审计后公布修复路径与用户补偿方案。由于本次攻击本质是链下数据注入而非合约漏洞，预计将持续受到安全社区深度关注与追踪。

事件揭示链下信任边界的重要性

本起攻击表明，即使私钥始终保密，仅靠链上签名也无法保证系统安全。攻击者借助伪造后端事件，成功绕过信任链，使系统误信非法请求为真实。这凸显了跨链桥对链下组件可靠性的极端依赖。对于用户而言，未来应更加重视桥接背后的运营透明度与审计机制。

附录：关键技术术语解析

Alephium跨链桥：连接Alephium主网与以太坊生态的资产转移通道，支持封装ALPH代币跨链流通。伪造消息：经合法签名但内容虚假的桥接指令，用于误导系统判断。封装ALPH：在原生链锁定ALPH后，于目标链发行的代币化版本。桥接守护者：负责审核并签署跨链转账请求的独立验证节点。链下漏洞：存在于智能合约之外、影响桥接后端逻辑的系统缺陷。SEAL 911：专注于加密资产危机响应的国际安全协作组织。BNB链：部分被盗资产所在的公链网络。流动性资金池：去中心化交易所中的代币储备池，可能被用于转换无支持代币。

关于攻击事件的常见疑问解答

1. 本次攻击的本质是什么？系通过伪造链下事件流，诱导守护者签署虚假请求，使系统误判为合法操作。2. 总体损失金额是多少？合计约81.5万美元，涵盖以太坊与BNB链上的多种资产。3. 是否涉及守护者密钥泄露？否，多方确认攻击不源于私钥外泄。4. 受影响资产包括哪些？主要为USDT、USDC、WETH、WBTC、WBNB，另存在1,376万枚无抵押封装ALPH的异常生成。